Что нужно знать об атаке программы-вымогателя Cognizant Maze

Представьте, что вы пишете важное рабочее письмо и внезапно теряете доступ ко всему. Или получение сообщения об ошибке с требованием биткойна для расшифровки вашего компьютера. Может быть много разных сценариев, но одно остается неизменным для всех атак программ-вымогателей – злоумышленники всегда предоставляют инструкции, как вернуть вам доступ. Конечно, единственная загвоздка в том, что вы должны сначала внести значительную сумму выкупа.

Разрушительный тип программ-вымогателей, известный как «Лабиринт», набирает обороты в мире кибербезопасности. Вот что вам нужно знать о программе-вымогателе Cognizant Maze.

Что такое программа-вымогатель Maze?

Программа-вымогатель Maze представляет собой штамм Windows, распространяемый через спам-электронные письма и наборы эксплойтов, требующие огромного количества биткойнов или криптовалюты в обмен на расшифровку и восстановление украденных данных.

Электронные письма приходят с, казалось бы, невинными темами, такими как «Ваш счет Verizon готов к просмотру» или «Пропущенная доставка пакета», но отправляются через вредоносные домены. Ходят слухи, что Maze – это партнерская программа-вымогатель, работающая через сеть разработчиков, которые делятся прибылью с различными группами, проникающими в корпоративные сети.

Чтобы разработать стратегии защиты и ограничения уязвимости от подобных атак, мы должны подумать о Cognizant Maze …

Атака программ-вымогателей Cognizant Maze

В апреле 2020 года Cognizant, компания из списка Fortune 500 и один из крупнейших мировых поставщиков ИТ-услуг, стала жертвой злобной атаки Maze, которая привела к огромным сбоям в обслуживании по всем направлениям.

Из-за удаления внутренних каталогов, выполненного этой атакой, несколько сотрудников Cognizant пострадали от сбоев связи, а отдел продаж остался в недоумении, не имея возможности общаться с клиентами, и наоборот.

Тот факт, что утечка данных Cognizant произошла, когда компания переводила сотрудников на работу удаленно из-за пандемии коронавируса, усложнила задачу. Согласно отчету CRN , сотрудники были вынуждены искать другие средства для связи с коллегами из-за потери доступа к электронной почте.

«Никто не хочет, чтобы его атаковала программа-вымогатель», – сказал генеральный директор Cognizant Брайан Хамфрис. «Я лично не верю, что кто-то действительно невосприимчив к этому, но разница в том, как вы справляетесь с этим. И мы постарались сделать это профессионально и зрело ».

Компания быстро дестабилизировала ситуацию, заручившись помощью ведущих экспертов по кибербезопасности и их внутренних групп ИТ-безопасности. О кибератаке Cognizant также было сообщено в правоохранительные органы, а клиентам Cognizant постоянно предоставлялись обновленные сведения об индикаторах компрометации (IOC).

Однако компания понесла значительный финансовый ущерб из-за атаки, накопив до колоссальных 50-70 миллионов долларов потерянного дохода .

Почему программа-вымогатель Maze представляет собой двойную угрозу?

Как будто попадание под воздействие программ-вымогателей было недостаточно, изобретатели атаки Лабиринта добавили жертвам дополнительный поворот, с которым они могли бороться. Вредоносная тактика, известная как «двойное вымогательство», вводится с атакой Maze, когда жертвам угрожает утечка их скомпрометированных данных, если они откажутся сотрудничать и выполнить требования программы-вымогателя.

Эту печально известную программу-вымогатель справедливо называют «двойной угрозой», потому что, помимо отключения доступа к сети для сотрудников, она также создает реплику всех сетевых данных и использует ее для эксплуатации и соблазнения жертв на получение выкупа.

К сожалению, тактика давления со стороны создателей Maze на этом не заканчивается. Недавнее исследование показало, что TA2101, группа, стоящая за вымогателем Maze, теперь опубликовала специальный веб-сайт, на котором перечислены все их не сотрудничающие жертвы, и часто публикуются их украденные образцы данных в качестве наказания.

Как ограничить количество инцидентов с программами-вымогателями Maze

Снижение и устранение рисков программ-вымогателей – это многогранный процесс, в котором различные стратегии комбинируются и настраиваются в зависимости от конкретного случая пользователя и профиля рисков отдельной организации. Вот самые популярные стратегии, которые могут помочь остановить атаку лабиринта прямо на ее пути.

Внесение в белый список приложений

Внесение в белый список приложений – это метод превентивного предотвращения угроз, который позволяет запускать только предварительно авторизованные программы или программное обеспечение, в то время как все остальные по умолчанию заблокированы.

Этот метод очень помогает в выявлении незаконных попыток выполнения вредоносного кода и помогает предотвратить несанкционированные установки.

Приложения исправлений и недостатки безопасности

Недостатки безопасности должны быть исправлены сразу после их обнаружения, чтобы предотвратить манипуляции и злоупотребления со стороны злоумышленников. Вот рекомендуемые сроки для своевременного применения исправлений в зависимости от серьезности недостатков:

• Чрезвычайный риск : в течение 48 часов после выпуска патча.
• Высокий риск : в течение двух недель после выпуска патча.
• Умеренный или низкий риск : в течение одного месяца после выпуска патча.

Настройка параметров макроса Microsoft Office

Макросы используются для автоматизации рутинных задач, но иногда могут быть легкой целью для переноса вредоносного кода в систему или компьютер после включения. Лучше всего держать их отключенными, если это возможно, или дать им оценку и проверку перед использованием.

Использовать усиление защиты приложений

Укрепление приложений – это метод защиты ваших приложений и применения дополнительных уровней безопасности для защиты их от кражи. Приложения Java очень подвержены уязвимостям безопасности и могут быть использованы злоумышленниками в качестве точек входа. Крайне важно защитить вашу сеть, используя эту методологию на уровне приложений.

Ограничить административные привилегии

С административными привилегиями следует обращаться с особой осторожностью, поскольку учетная запись администратора имеет доступ ко всему. Всегда используйте принцип наименьших привилегий (POLP) при настройке доступа и разрешений, так как это может быть неотъемлемым фактором для защиты от программ-вымогателей Maze или любых кибератак в этом отношении.

Патч для операционных систем

Как правило, любые приложения, компьютеры и сетевые устройства с уязвимостями повышенного риска должны быть исправлены в течение 48 часов. Также жизненно важно убедиться, что используются только самые последние версии операционных систем, и любой ценой избегать неподдерживаемых версий.

Внедрить многофакторную аутентификацию

Многофакторная аутентификация (MFA) добавляет дополнительный уровень безопасности, поскольку для входа в решения удаленного доступа, такие как онлайн-банкинг или любые другие привилегированные действия, требующие использования конфиденциальной информации, требуется несколько авторизованных устройств.

Защитите свои браузеры

Важно убедиться, что ваш браузер всегда обновляется, всплывающая реклама блокируется, а настройки вашего браузера предотвращают установку неизвестных расширений.

Убедитесь, что посещаемые вами веб-сайты являются законными, проверив адресную строку. Просто помните, что HTTPS безопасен, а HTTP – значительно меньше.

Связанный: Как проверять подозрительные ссылки с помощью встроенных инструментов вашего браузера

Используйте защиту электронной почты

Основной способ проникновения программы-вымогателя Maze – по электронной почте.

Внедрите многофакторную аутентификацию, чтобы добавить дополнительный уровень безопасности и установить срок действия паролей. Кроме того, приучите себя и сотрудников никогда не открывать электронные письма из неизвестных источников или, по крайней мере, не загружать что-либо вроде подозрительных вложений. Инвестирование в решение для защиты электронной почты гарантирует безопасную передачу ваших писем.

Делайте регулярные резервные копии

Резервное копирование данных является неотъемлемой частью плана аварийного восстановления. В случае атаки, восстановив успешные резервные копии, вы можете легко расшифровать исходные резервные копии данных, которые были зашифрованы хакерами. Рекомендуется настроить автоматическое резервное копирование и создать уникальные и сложные пароли для ваших сотрудников.

Обратите внимание на затронутые конечные точки и учетные данные

И последнее, но не менее важное: если какая-либо из конечных точек вашей сети была затронута программой-вымогателем Maze, вам следует быстро определить все учетные данные, используемые на них. Всегда предполагайте, что все конечные точки были доступны и / или взломаны хакерами. Журнал событий Windows пригодится для анализа попыток входа в систему после взлома.

По теме: 7 способов избежать атаки программ-вымогателей

Ошеломлены атакой Cognizant Maze Attack?

В результате взлома Cognizant поставщик ИТ-решений изо всех сил пытался оправиться от огромных финансовых потерь и потерь данных. Однако с помощью ведущих экспертов по кибербезопасности компания быстро оправилась от этой ужасной атаки.

Этот эпизод доказал, насколько опасными могут быть атаки программ-вымогателей.

Помимо Лабиринта, злобные злоумышленники ежедневно проводят множество других атак с использованием программ-вымогателей. Хорошая новость заключается в том, что при наличии должной осмотрительности и строгих мер безопасности любая компания может легко смягчить эти атаки до того, как они нанесут удар.